Roundcube Webmail XSS 漏洞被用于窃取登录凭据

未知威胁行动者们被指利用开源网络邮箱软件 Roundcube 中的一个漏洞，发动钓鱼攻击以窃取用户凭据。目前该漏洞已修复。

俄罗斯网络安全公司 Positive Technologies 表示，上个月发现一份邮件被发送到位于一个独联体国家的某个政府组织机构。然而，该邮件最初已在2024年6月发送。该公司在本周早些时候发布的一份分析报告中提到，“该邮件看似是一条没有文本的消息，里面仅包含一份附件文档。然而，该邮箱客户端并未显示附件。邮件主体包含具有 eval (atob(…))语句的唯一标记，能够解码和执行 JavaScript 代码。”

Positive Technologies公司提到，该攻击链是为了通过 SVG 动画属性利用存储型XSS漏洞 (CVE-2024-37383)，在受害者的 web 浏览器上下文中执行任意 JavaScript。换句话说，远程攻击者能够加载任意 JavaScript 代码并通过诱骗邮件收件人打开特殊构造信息的方式访问敏感信息。该问题已在2024年5月发布的1.5.7和1.6.7版本中修复。

Positive Technologies 公司提到，“通过将 JavaScript 代码作为插入 ‘href’ 的值，不管 Roundcube 客户端何时打开恶意邮件，我们能够在 Roundcube 页面执行它。”

在本案例中，该 JavaScript payload 将空白的微软 Word 附件 (“Road map.docx”) 保存，之后使用插件 ManageSieve 获取邮件服务器的消息。它还在向用户显示的 HTML 页面中显示登录表单，欺骗受害者提供 Roundcube 凭据。在最后一个阶段，被捕获的用户名和密码信息被提取到托管在 Cloudflare 的远程服务器中。

目前尚不清楚谁发动了利用活动，尽管Roundcube 漏洞已遭多个黑客组织利用如 APT 28等。该公司表示，“虽然 Roundcube 网络邮箱可能并不是使用最广泛的邮件客户端，但因得到政府机构的广泛应用，因此仍然是黑客目标。针对该软件的攻击可造成重大损失，导致网络犯罪分子窃取敏感信息。”